gooなどのサイトにログインする時、いちいちIDやパスワードを打ち込むのが面倒なのですが、
「https://goo.ne.jp/login.cgi?id=oraora&pass=orapa」
みたいな感じで、formタグのactionに指定されているページに対し、引数で直接IDやパスワードを記述してアドレスを打ち込むのは、sslのページでもやはり安全ではないのでしょうか?
というかDNSに問い合わせする際に、やっぱり引数もそのまま行っちゃうのでしょうか?
No.3ベストアンサー
- 回答日時:
> 途中のプロキシをかましてないのであれば、接続先のWeb
> サーバーのログを閲覧できる管理者以外は引数を知るこ
> とはできない。と考えても良いのでしょうか?
Web サーバのログ以外にも、当然の事ながらブラウザの画面を直接覗かれた場合にも引数は漏れてしまいます。
なお、プロキシサーバについては、特殊なケース (SSL セッションをクライアントとサーバで確立するのではなく、プロキシサーバとサーバで確立する場合など) を除けば、プロキシサーバのログに引数が残ることはありませんし、SSL 通信の場合はキャッシュさえもされません。
これは、プロキシサーバが暗号化された内容を解読することができないからです。暗号化されたコンテンツの中身を中継サーバが見れるのなら、誰でも盗聴可能ってことになってしまいますよね。
ちなみに、パスワードは POST メソッドで送信することが強く推奨されています。ただし、サーバ側システムによっては、認証パスワードを平文のまま保存しているようなところもあるので、POST メソッドを使用したからといって、必ずしもパスワードが漏洩しないわけではありません。
なるほど、大変参考になりました。
ブラウザのアドレス欄に出てしまうのはリスクとして心得るとして、ひとまず引数で直に打ち込んでしまってもそれなりの安全性はあるということで納得致しました。
まぁログインツール使えや&cookie消すなや的な話かもしれませんが、、、。
ありがとうございました。
No.2
- 回答日時:
パラメータを隠す、という点から言えば、GETメソッドはPOSTメソッドよりも遙かに安全性が落ちますが?
URLの中に引数を直接埋め込んだ場合、確実に言えるのは、途中のプロキシサーバや接続先のWWWサーバには、引数を含めたログが残ることです。
質問者さんのようなことをした場合、それらのサーバの管理者には、IDとパスワードの内容がだだ漏れになります。
IDやパスワードなどの機密パラメータの場合、さすがに無理があるということで、とても参考になりました。ありがとうございました。
もうひとつ質問させていただきたいのですが、
途中のプロキシをかましてないのであれば、
接続先のWebサーバーのログを閲覧できる管理者以外は引数を知ることはできない。と考えても良いのでしょうか?
接続先のwebを表示するまでに、さまざまな経路を辿ると思うのですが、そこは大丈夫でしょうか?
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- オープンソース AWSドメイン名でApacheテスト・ページを表示させる方法を教えて下さい。 1 2023/04/26 15:59
- その他(ブラウザ) Edge、Chrome、FireFoxのパスワード記憶機能 2 2023/08/16 16:25
- ハッキング・フィッシング詐欺 楽天のフィッシングメールに引っかかってしまい、 ログインIDとパスワードを入力してしまいました。 次 2 2022/09/20 19:43
- Excel(エクセル) Excel 在庫管理について 3 2023/02/09 10:00
- PHP php ログイン 1 2022/11/01 00:24
- WordPress(ワードプレス) ワードプレスで、投稿一覧ページにタグを表示する方法 投稿につけたタグを、記事一覧ページにもカテゴリと 1 2023/05/10 21:41
- gooポイント gooポイントをdポイントに交換できない。 3 2022/04/22 20:39
- その他(プログラミング・Web制作) Windowsのマクロプログラムで、こんなことできますか? 3 2022/06/28 14:30
- MySQL PHPとMySQLを使った掲示板の作り方 1 2022/06/02 13:00
- JavaScript sessionStorageを調べています。 1 2023/06/20 12:41
このQ&Aを見た人はこんなQ&Aも見ています
関連するカテゴリからQ&Aを探す
おすすめ情報
このQ&Aを見た人がよく見るQ&A
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
外部の認証機能を利用したWebサ...
-
オープンソースのネットワーク機器
-
アドレスの前にwwwの他にw...
-
この問題が解けません。 PCから...
-
どなたかおすすめ知ってますか?
-
anti-virus 対応 IPS の動作に...
-
自宅サーバにお薦めのパソコン
-
国内と海外でクラウドサービス...
-
インターネット時刻にあわせら...
-
ファイルサーバとFTPサーバの違...
-
ログとダンプの違いって・・・
-
フォルダを移動した犯人は誰?
-
IIS FTPサーバーログ中の時刻が...
-
時間が経過するとサーバ上のプ...
-
Vistaで時刻が大幅に狂います
-
CentOS6の時刻がズレる理由と、...
-
TeraTermのログが正しく取得出...
-
ドメイン環境でのサーバとクラ...
-
gsコマンドでエラー
-
Windowsの時間の同期について
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
アドレスの前にwwwの他にw...
-
curl実行結果が404で戻ってきて...
-
メールソフトの互換性について(...
-
別のコンピュータ名でPINGを打...
-
サーバーは、普通のPCとして...
-
switchで、Wi-Fiはいいのにラグ...
-
Apacheのリバースプロキシ利用...
-
ISサーバについて
-
POSTデータの改ざんを防ぎたい
-
ヤフーのWEBサーバの場所
-
tera termの使い方を教えて下さい
-
複数のサーバを、一つのサーバ...
-
「Unix」ってなんですか?
-
システム構成をうまく説明する方法
-
ドメイン名『jp』と、サーバ...
-
勘定奉行LANPACK 同一パソコン...
-
動的ミラーリングについて知りたい
-
DNSサーバのIPアドレスが上位の...
-
サーバ関連、ネットワーク技術...
-
SSLのページでも、引数の直接渡...
おすすめ情報